Microsoft a publié des mises à jour de sécurité dans le cadre de ses Patch mardi cycle de publication pour corriger 55 vulnérabilités dans Windows, Azure, Visual Studio, Windows Hyper-V et Office, y compris des correctifs pour deux failles zero-day activement exploitées dans Excel et Exchange Server qui pourraient être utilisées de manière abusive pour prendre le contrôle d’un système affecté.
Sur les 55 problèmes, six sont classés critiques et 49 sont classés comme importants en termes de gravité, quatre autres étant répertoriés comme connus du public au moment de la publication.
Les défauts les plus critiques sont CVE-2021-42321 (score CVSS : 8,8) et CVE-2021-42292 (score CVSS : 7,8), chacun concernant un faille d’exécution de code à distance post-authentification dans Microsoft Exchange Server et une vulnérabilité de contournement de sécurité affectant les versions de Microsoft Excel 2013-2021 respectivement.
Le problème d’Exchange Server est également l’un des bugs qui a été démontré lors de la Coupe Tianfu qui s’est tenue en Chine le mois dernier. Cependant, le géant de la technologie basé à Redmond n’a fourni aucun détail sur la façon dont les deux vulnérabilités susmentionnées ont été utilisées dans des attaques dans le monde réel.
« Plus tôt cette année, Microsoft a alerté qu’APT Group HAFNIUM exploitait quatre vulnérabilités zero-day dans le serveur Microsoft Exchange », a déclaré Bharat Jogi, directeur de la recherche sur les vulnérabilités et les menaces chez Qualys.
« Cela a évolué en exploits des vulnérabilités du serveur Exchange par DearCry Ransomware – y compris des attaques contre des chercheurs en maladies infectieuses, des cabinets d’avocats, des universités, des sous-traitants de la défense, des groupes de réflexion sur les politiques et des ONG. pirates cherchant à pénétrer des réseaux critiques », a ajouté Jogi.
Quatre vulnérabilités divulguées publiquement, mais non exploitées, sont également abordées :
- CVE-2021-43208 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance de la visionneuse 3D
- CVE-2021-43209 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance de la visionneuse 3D
- CVE-2021-38631 (score CVSS : 4,4) – Vulnérabilité de divulgation d’informations dans le protocole Windows Remote Desktop (RDP)
- CVE-2021-41371 (score CVSS : 4,4) – Vulnérabilité de divulgation d’informations dans le protocole Windows Remote Desktop (RDP)
Le correctif de novembre de Microsoft est également livré avec une résolution pour CVE-2021-3711, une faille critique de dépassement de mémoire tampon dans la fonction de déchiffrement SM2 d’OpenSSL qui a été révélée fin août 2021 et qui pourrait être exploitée par des adversaires pour exécuter du code arbitraire et provoquer une condition de déni de service (DoS).
D’autres corrections importantes incluent des correctifs pour plusieurs défauts d’exécution de code à distance dans Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Bus de machine virtuelle Microsoft (CVE-2021-26443), Client Bureau à distance (CVE-2021-38666) et les versions locales de Microsoft Dynamics 365 (CVE-2021-42316).
Enfin, la mise à jour est complétée par des correctifs pour un certain nombre de vulnérabilités d’escalade de privilèges affectant NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283), le noyau Windows (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Pont de bureau Windows (CVE-2021-36957) et le pilote du système de fichiers Windows Fast FAT (CVE-2021-41377)
À installer les dernières mises à jour de sécurité, les utilisateurs Windows peuvent accéder à Démarrer > Paramètres > Mise à jour et sécurité > Windows Update ou en sélectionnant Rechercher les mises à jour Windows.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par un certain nombre d’autres fournisseurs pour rectifier plusieurs vulnérabilités, notamment :